尽管这样做的结果更令人恼火而不是危险,但WhatsApp双因素身份验证系统的一个新漏洞似乎确实让攻击者相对容易地将您锁定在帐户之外不同的时间。而一个糟糕的演员需要做的就是知道你和WhatsApp账户相关联的电话号码。就这样。攻击本身很容易执行。正如安卓警察所描述的:
这个新发现的缺陷使用了两个独立的向量。攻击者在新设备上安装WhatsApp并输入您的号码以激活聊天服务。他们无法验证它,因为当然,双因素身份验证系统将向您的**发送登录提示。多次重复尝试失败后,您的登录被锁定12小时。
棘手的部分就在这里:当你的帐户被锁定时,攻击者会从他们的电子邮件地址向WhatsApp发送一条支持消息,声称他们(你的)**已经丢失或被盗,需要停用与你的号码相关的帐户。WhatsApp通过回复邮件“验证”了这一点,并在没有任何输入的情况下暂停了您的帐户。攻击者可以连续多次重复此过程,在您的帐户上创建半永久性锁。
这里的一线希望是,这些攻击实际上不能被用来入侵你的帐户,而只是让你的帐户在一段时间内无法使用(如果攻击者真的是专用的,则可能是永久性的)。
WhatsApp的代表告诉福布斯,保护自己免受此类攻击的最简单方法是确保你已经将电子邮件地址与你的两步验证过程关联起来,这样攻击者就无法欺骗你的身份。你现在可以通过打开WhatsApp,加载它的设置,点击两步验证,输入你的电子邮件地址(或者检查以确保你已经这样做了)。
这本身不会阻止攻击,但如果你发现自己处于“阻止验证我的帐户”反馈循环中,WhatsApp的客服团队会更容易帮助你,如果攻击者伸手去攻击你的话,将会发生什么,声称你的帐户被黑客攻击了,而WhatsApp应该停用它(然后,您将“接收”代码以还原错误的取消注册,只有由于之前的技巧,您无法输入它们,这将暂时禁止您输入太多不正确的2FA代码。)
正如《福布斯》杂志的扎克·多夫曼所写:
这并不复杂,应该很容易解决。WhatsApp可以确保注册了2FA的设备上的应用程序可以防止这个问题,使用2FA作为断路器。更简单的说,当多设备访问最终出现时,WhatsApp可以使用可信设备概念,使一个经过验证的应用程序能够验证另一个应用程序。这是一个更好的系统,可以关闭此漏洞。
我希望WhatsApp正在研究这个问题,并将修补2fA验证过程(或帐户禁用过程),以使这些类型的drive-by-style攻击无效。同时,如果可能的话,也许可以考虑完全使用不同的WhatsApp号码,以尽量减少被锁在门外的风险。
...这会影响你的隐私和工作效率。让我们看看如何在Slack、WhatsApp、Facebook Messenger和Messages等流行应用程序中最好地控制iPhone消息通知流。管理邮件中的通知首先,让我们看看如何控制Messages应用程序中的通知。我们将主要关注应用...
...春季的网络钓鱼企图欺骗谷歌文档并滥用谷歌OAuth系统。攻击者是如何入侵谷歌账户的?什么数据丢失了?你怎么知道?让我们看看我们所知道的以及你如何保护自己。 ...
WhatsApp是增长最快的即时通讯工具之一,几乎是一个以自己的方式发展起来的社交网络。但是如果你正在使用它,你应该采取一些措施来保护你的安全和隐私。 ...
...我们将向您展示黑客使用SIM卡访问设备的一些方法,以及如何保护SIM卡安全的建议。 ...
... 罪犯、黑客和骗子都利用了这一点。有攻击者将恶意软件冒充WhatsApp桌面应用程序的实例。如果您不幸下载了其中一个,安装程序可能会分发恶意软件或以其他方式危害您的计算机。 ...
...后发送给秘书进行抄写。 语音备忘录可以被修改成攻击者想说的任何话,造成混乱。 这种情况尤其令人担忧,因为人们开始相信他们使用端到端加密服务发送的消息是安全的。很多人都知道短信或电子邮件是假的。因...
...)访问系统内存的地方,它不应该也访问系统内存。如果攻击者能够找出如何在未经授权的内存区域中运行代码,他们就可以执行恶意的操作,这就是这里发生的情况。 ...
WhatsApp推出了一项新功能,防止人们在未经您允许的情况下将您添加到群聊中。以前,任何人都可以将您添加到组中,除非您阻止了组的管理员。然而,现在WhatsApp已经把权力放回到了你的手中。 ...
...地监视你的信息和窃取你的2FA代码。使用iMessage、Signal或WhatsApp等加密消息应用程序可以防止多管闲事的黑客。 ...
数百万人使用WhatsApp向世界各地的朋友和家人发送图片、信息和其他机密信息。使用WhatsApp的人数表明,很多人觉得WhatsApp安全,或者说足够安全。 ...